💭
モバイルアプリの解析用メモ
モバイルアプリを解析する際に使うツール達です
自分用のメモですが役に立てば幸いです
モバイルアプリ等のハッキングの種類一覧
- SSLピンニングバイパス
- メモリハック
- データ復号
- 通信内容の書き換え
- ローカル情報の書き換え
- アプリ内課金(IAP)バイパス
- ソースコード書き換え
- パッチ当て
- Man-In-The-Middle(MITM)攻撃
後でまとめるツール達
| 名前 | 説明 |
|---|---|
| SSL-Kill-Switch2 | OSとmacOSのアプリケーションでSSL/TLS証明書の検証(証明書のピン留めを含む)を無効にするブラックボックスツール。 |
| APK-Medit | root & ndkなしでデバッグ可能なapkのためのメモリ検索とパッチツールです。(CUI) |
| IPA-Medit | 脱獄せずにipaをリセマラするためのメモリ検索・パッチツールです。(CUI) |
| Jadx | Javaの逆コンパイラ |
| JD GUI | Javaの逆コンパイラ。 EclipseおよびIntelliJ IDEA統合開発環境用のプラグイン。 |
| AES Killer | BurpSuiteの拡張機能。AESで暗号化されたトラフィックを復号化する。 |
| MobSF | 侵入テスト、マルウェア分析、および静的および動的分析を実行できる万能フレームワーク |
| Frida | モバイルアプリケーションの動的解析ツール |
| Fiddler | Web アプリケーションデバッグ用ツール |
| Objection | Fridaを利用したランタイムモバイル探索ツールキット。 使い方 |
APK解析等に使うツール達
| 名前 | 説明 |
|---|---|
| Dex2Jar | androidの.dexやjavaの .class ファイル用のツール。 dex2jarは、Androidアプリのapkファイルの解析をするときに利用する |
| Il2CppDumper | IL2CPP ビルドされた APK から .NET のメタデータを抽出できる。リバースエンジニアリングツールです。 |
| Apksigner | Googleが提供してるapkを署名してくれるツール |
| Apktool | Android アプリをリバース エンジニアリングするためのツール。 |
| ApkUtil | Apktoolのラッパー。APKの再署名、機密性の高いファイルチェック、APKの確認を簡単にするツール |
通信解析ツール
| 名前 | 説明 |
|---|---|
| BurpSuite | Webアプリケーションセキュリティの検証のためのローカルプロキシツール。 --参考記事-- ・エミュレーターとBurp SuiteでAndroidアプリのHTTP通信をキャプチャする |
| OWASP Zap | オープンソースの Web アプリケーション セキュリティ スキャナー。 --参考記事-- ・Web脆弱性診断ツール「OWASP ZAP」とは |
| WireShark | ネットワーク・アナライザ・ソフトウェア |
やられアプリ
- CrackMe Uncrackable : Root検知のみ?Lv1~Lv4まである。
- InsecureBankv2 : 色々な脆弱性が残されている。READMEを参照
ためになるサイト集
- OWASP-MASTG : モバイルのセキュリティについてまとめてあるサイト。
- Android Developerd : Androidに関する情報が沢山ある。日本語からEnglishにすると情報が増えるときがある。
Discussion